App-basierter bedingter Zugriff mit IntuneApp-based conditional access with Intune

Gilt für: Intune in AzureApplies to: Intune on Azure
Suchen Sie nach der Dokumentation zu Intune in der klassischen Konsole?Looking for documentation about Intune in the classic console? Diese finden Sie hier.Go to here.

Intune-App-Schutzrichtlinien unterstützen Sie beim Schutz Ihrer Unternehmensdaten auf Geräten, die bei Intune registriert sind.Intune app protection policies help protect your company data on devices that are enrolled into Intune. App-Schutzrichtlinien können Sie auch auf mitarbeitereigenen Geräten verwenden, die nicht für die Verwaltung in Intune registriert sind.You can also use app protection policies on employee owned devices that are not enrolled for management in Intune. Auch wenn Ihr Unternehmen das Gerät nicht verwaltet, müssen Sie in diesem Fall dennoch sicherstellen, dass Unternehmensdaten und -ressourcen geschützt sind.In this case, even though your company doesn't manage the device, you still need to make sure that company data and resources are protected.

Mit App-basiertem bedingten Zugriff und der Verwaltung von mobilen Anwendungen wird eine Sicherheitsschicht hinzugefügt, indem sichergestellt wird, dass nur mobile Apps, die Intune-App-Schutzrichtlinien unterstützen, auf Exchange Online und andere Office 365-Dienste zugreifen können.App-based conditional access and mobile application management adds a security layer by making sure only mobile apps that support Intune app protection policies can access Exchange online, and other Office 365 services.

Hinweis

Eine verwaltete App ist eine App, auf die App-Schutzrichtlinien angewendet wurden und die von Intune verwaltet werden kann.A managed app is an app that has app protection policies applied to it, and can be managed by Intune.

Wenn Sie nur für die Microsoft Outlook-App den Zugriff auf Exchange Online zulassen, können Sie die integrierten E-Mail-Apps von iOS und Android blockieren.You can block the built-in mail apps on iOS and Android when you only allow the Microsoft Outlook app to access Exchange Online. Darüber hinaus können Sie für Apps, auf die keine Intune-App-Schutzrichtlinien angewendet wurden, den Zugriff auf SharePoint Online blockieren.Additionally, you can block apps that don’t have Intune app protection policies applied from accessing SharePoint Online.

VoraussetzungenPrerequisites

Bevor Sie eine App-basierte bedingte Zugriffsrichtlinie erstellen, benötigen Sie Folgendes:Before you create an App-based conditional access policy, you must have:

Unterstützte AppsSupported apps

  • Exchange Online:Exchange Online:
    • Microsoft Outlook für Android und iOSMicrosoft Outlook for Android and iOS.
  • SharePoint OnlineSharePoint Online
    • Microsoft Word für iOS und AndroidMicrosoft Word for iOS and Android
    • Microsoft Excel für iOS und AndroidMicrosoft Excel for iOS and Android
    • Microsoft PowerPoint für iOS und AndroidMicrosoft PowerPoint for iOS and Android
    • Microsoft OneDrive for Business für iOS und AndroidMicrosoft OneDrive for Business for iOS and Android
    • Microsoft OneNote für iOSMicrosoft OneNote for iOS
  • Microsoft TeamsMicrosoft Teams

    Hinweis

    App-basierter bedingter Zugriff unterstützt auch branchenspezifische Apps, aber diese Apps müssen die moderne Authentifizierung von Office 365 nutzen.App-based conditional access also supports LOB apps, but these apps need to use Office 365 modern authentication.

Funktionsweise des App-basierten bedingten ZugriffsHow app-based conditional access works

In diesem Beispiel hat der Administrator App-Schutzrichtlinien auf die Outlook-App angewendet. Zudem gilt eine Regel für bedingten Zugriff, mit der die Outlook-App einer genehmigten Liste von Apps hinzugefügt wird, die beim Zugriff auf Unternehmens-E-Mails verwendet werden kann.In this example, the admin has app protection policies applied to the Outlook app followed by a conditional access rule that adds the Outlook app to an approved list of apps that can be used when accessing corporate e-mail.

Hinweis

Die Struktur aus dem nachfolgenden Flussdiagramm kann für andere verwaltete Apps verwendet werden.The flowchart structure below can be used for other managed apps.

Flussdiagramm zum App-basierten bedingten Zugriff mit Intune

  1. Der Benutzer versucht, sich über die Outlook-App bei Azure AD zu authentifizieren.The user tries to authenticate to Azure AD from the Outlook app.

  2. Der Benutzer wird an den App Store umgeleitet, um eine Broker-App zu installieren, wenn er zum ersten Mal versucht, sich zu authentifizieren.The user gets redirected to the app store to install a broker app when trying to authenticate for the first time. Die Broker-App kann der Microsoft Authenticator für iOS oder das Microsoft-Unternehmensportal für Android-Geräte sein.The broker app can be either the Microsoft Authenticator for iOS, or the Microsoft Company portal for Android devices.

    Hinweis

    Wenn in diesem Szenario Benutzer versuchen, eine native E-Mail-App zu verwenden, werden sie an den App Store umgeleitet, um dann die Outlook-App zu installieren.In this scenario, if users try to use a native e-mail app, they’ll be redirected to the app store to then install the Outlook app.

  3. Die Broker-App wird auf dem Gerät installiert.The broker app gets installed on the device.

  4. Die Broker-App startet die Azure AD-Registrierung, durch die ein Gerätedatensatz in Azure AD erstellt wird.The broker app starts the Azure AD registration process which creates a device record in Azure AD. Dies ist nicht mit der Registrierung für die mobile Geräteverwaltung (MDM) identisch, aber dieser Datensatz ist erforderlich, damit bedingte Zugriffsrichtlinien auf dem Gerät erzwungen werden können.This is not the same as the mobile device management (MDM) enrollment process, but this record is necessary so the conditional access policies can be enforced on the device.

  5. Die Broker-App überprüft die Identität der App.The broker app verifies the identity of the app. Es gibt eine Sicherheitsschicht, sodass die Broker-App überprüfen kann, ob die App für die Verwendung durch den Benutzer autorisiert ist.There’s a security layer so the broker app can validate if the app is authorized to be used by the user.

  6. Die Broker-App sendet die App-Client-ID während der Benutzerauthentifizierung an Azure AD, um zu überprüfen, ob sie in der durch die Richtlinie genehmigten Liste enthalten ist.The broker app sends the App Client ID to Azure AD as part of the user authentication process to check if it’s in the policy approved list.

  7. Azure AD ermöglicht dem Benutzer die Authentifizierung und die Verwendung der App basierend auf der durch die Richtlinie genehmigte Liste.Azure AD allows the user to authenticate and use the app based on the policy approved list. Wenn die App nicht auf der durch die Richtlinie genehmigte Liste enthalten ist, verweigert Azure AD den Zugriff auf die App.If the app is not in the policy approved list, Azure AD denies access to the app.

  8. Die Outlook-App kommuniziert mit dem Outlook-Clouddienst, um die Kommunikation mit Exchange Online zu initiieren.Outlook app communicates with Outlook Cloud Service to initiate communication with Exchange Online.

  9. Der Outlook-Clouddienst kommuniziert mit Azure AD, um Exchange Online-Dienstzugriffstoken für den Benutzer abzurufen.Outlook Cloud Service communicates with Azure AD to retrieve Exchange Online service access token for the user.

  10. Die Outlook-App kommuniziert mit Exchange Online, um Unternehmens-E-Mails des Benutzers abzurufen.Outlook app communicates with Exchange Online to retrieve user's corporate e-mail.

  11. Unternehmens-E-Mails werden an das Postfach des Benutzers übermittelt.Corporate e-mail is delivered to the user's mailbox.

Nächste SchritteNext steps

Erstellen einer App-basierten Richtlinie für bedingten ZugriffCreate an app-based conditional access policy

Blockieren von Apps, die über keine moderne Authentifizierung verfügenBlock apps that do not have modern authentication

Um Feedback zu einem Produkt zu geben, besuchen Sie folgende Seite Intune Feedback